Regulamin powierzania przetwarzania danych osobowych

w NIJHOF WASSINK SP. Z O.O.

z dnia 1 września 2018 r.

§1

Definicje

Ilekroć w niniejszym Regulaminie powierzenia przetwarzania danych osobowych mowa o:

1. „administratorze danych” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

2. „procesorze”– rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

3. „danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

4. „przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

5. „systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

6. „Umowa” – rozumie się przez to umowę o współpracę wiążącą strony w zakresie realizacji usługi, może ona przyjąć również formę zlecenia.

7. „Ustawie o ochronie danych osobowych” – rozumie się przez to Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. U. z 2018 r., poz. 1000 z późn. zm.).

8. „Ogólnym rozporządzeniu o ochronie danych” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

9. Klient Nijhof Wassink Sp. z o.o. (dalej: Klient) – osoba fizyczna lub prawna zlecająca Nijhof Wassink Sp. z o.o. realizację usług logistycznych i intermodalnych, transportu drogowego, spedycji drogowej, spedycji kolejowej, spedycji morskiej, agencji celnej.

10. Podwykonawca– osoba fizyczna lub prawna, której Nijhof Wassink Sp. z o.o. lub Klient zleca realizację usługi transportu drogowego, kolejowego lub morskiego.

§2

Postanowienia Ogólne

1. Niniejszy Regulamin powierzenia przetwarzania danych osobowych (dalej: Regulamin) reguluje zasady powierzania przetwarzania danych osobowych w związku ze świadczonymi przez Nijhof Wassink Sp. z o.o. usługami: logistycznymi i intermodalnymi, transportu drogowego, spedycji drogowej, spedycji kolejowej, spedycji morskiej, agencji celnej.

2. Niniejszy regulamin reguluje wzajemne prawa i obowiązki Nijhof Wassink Sp. z o.o., Klientów i Podwykonawców w zakresie powierzania danych osobowych.

3. W zakresie realizacji usług wskazanych w 2 ust. 1 na zlecenie swoich Klientów, Nijhof Wassink Sp. z o.o. występuje jako Procesor przetwarzający dane osobowe, powierzane mu przez Klientów.

4. Administrator powierza Procesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszym Regulaminem.

5. Procesor będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszym Regulaminie.

§3

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Procesorowi przetwarzanie danych osobowych swoich pracowników, klientów, podwykonawców, kierowców, adresatów i nadawców przesyłek.

2. Zakres powierzonych do przetwarzania danych osobowych obejmuje następujące kategorie danych:

-Pracownicy: imię i nazwisko, numer telefonu, adres email;

-Klienci: imię i nazwisko nazwa firmy, adres, NIP;

-Dane adresata i nadawcy ładunku: imię i nazwisko nazwa firmy, adres, numer telefonu;

-Kierowcy: imię i nazwisko, numer prawa jazdy, numer dowodu osobistego, numer paszportu, numer telefonu.

3. Rodzaj powierzonych danych nie obejmuje tzw. szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

4. Celem powierzenia przetwarzania danych osobowych jest umożliwienie prawidłowej realizacji zamówionej usługi.

5. Procesor, w zakresie realizacji celu określonego w ust. 4 powyżej, jest uprawniony do wykonywania następujących operacji na danych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, udostępnienie.

6. Przetwarzanie powierzonych danych odbywać się będzie formie papierowej i/lub przy wykorzystaniu systemów informatycznych.

7. Z uwagi na cel powierzenia przetwarzania danych osobowych, przetwarzanie danych będzie miało charakter cykliczny lub jednorazowy.

§4

Obowiązki Procesora

1. Procesor będzie przetwarzał powierzone mu dane osobowe na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa. W szczególności przetwarzanie powierzonych danych odbywało się będzie w zgodzie z postanowieniami: Ogólnego rozporządzenia o ochronie danych, Ustawy o ochronie danych osobowych oraz innych właściwych w zakresie przetwarzania danych osobowych przepisów prawa.

2. W związku z powierzeniem przetwarzania danych osobowych Procesor zobowiązuje się do:

   • przetwarzania danych osobowych wyłącznie na podstawie postanowień Regulaminu lub innego udokumentowanego polecenia Administratora, za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną,

   • zapewnienia by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

   • podjęcia wszelkich środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym m.in. do wdrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku,

   • przestrzegania określonych w §6 Regulaminu warunków podpowierzenia przetwarzania danych osobowych innemu podmiotowi,

   • aktywnej współpracy z Administratorem przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Procesor biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będzie pomagał Administratorowi wywiązywać się z obowiązków względem osób, których dane dotyczą oraz, uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie pomagał Administratorowi wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa danych osobowych.

3. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o:

   • prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Administratora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,

   • nieupoważnionym dostępie do danych osobowych,

   • żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego upoważniony przez Administratora.

4. W przypadku wystąpienia incydentu zagrażającego bezpieczeństwu powierzonych do przetwarzania danych osobowych, tj. w szczególności wystąpienia lub podejrzenia wystąpienia któregokolwiek z: kradzieży, nieuprawnionego dostępu lub wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Procesor jest zobowiązany:

   • niezwłocznie po powzięciu wiadomości o incydencie, jednak w każdym przypadku nie później niż w ciągu dwudziestu czterech (24) godzin od powzięcia takiej wiadomości, powiadomić Administratora o takim incydencie,

   • zapewnić pomoc i przekazać dalsze informacje, które mogą być zasadnie wymagane przez Administratora w związku z tym incydentem,

   • niezwłocznie po powzięciu wiadomości o incydencie podjąć wszelkie zasadne starania w celu przeprowadzenia dochodzenia w sprawie incydentu jak również usunięcia przyczyn oraz jego skutków, z zastrzeżeniem, że Procesor dołoży takich starań wyłącznie na polecenie Administratora wydane po powiadomieniu Administratora o incydencie.

§5

Prawo kontroli

1. Procesor umożliwi Administratorowi przeprowadzanie kontroli działań Procesora w zakresie obiektywnie niezbędnym dla wykazania zgodności przetwarzania danych osobowych z Regulaminem oraz obowiązującymi przepisami prawa, w następujących przypadkach:

   • gdy obowiązek przeprowadzenia kontroli został nałożony przez organ nadzorczy,

   • gdy przeprowadzenie kontroli jest konieczne dla wyjaśnienia naruszenia ochrony danych osobowych.

2. W przypadkach innych niż wymienione w ust. 1, Administrator jest uprawniony do dokonania kontroli działań Procesora w zakresie obiektywnie niezbędnym dla wykazania zgodności przetwarzania danych osobowych z Regulaminem oraz obowiązującymi przepisami prawa, pod warunkiem uprzedniego uzgodnienia przez obie Strony warunków przeprowadzenia kontroli, z uwzględnieniem nakładu czasu i działań po stronie Procesora, związanych z udziałem w kontroli.

3. W każdym przypadku, kontrola może być prowadzona przez Administratora wyłącznie w zakresie, w jakim dane osobowe są przetwarzane przez Procesora w związku z realizacją celu powierzenia przetwarzania danych osobowych określonego w §3 ust. 4 Regulaminu, bez uszczerbku dla tajemnicy przedsiębiorstwa Procesora oraz informacji poufnych należących do osób trzecich.

4. Administrator jest zobowiązany zawiadomić Procesora o zamiarze przeprowadzania kontroli z odpowiednim wyprzedzeniem, tj. na co najmniej siedem (7) dni roboczych przed planowaną datą rozpoczęcia kontroli, wskazując dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli.

5. Jeżeli z uzasadnionych przyczyn przeprowadzenie kontroli przetwarzania nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, o którym mowa w ust. 4, Procesor poinformuje Administratora o pierwszym możliwym terminie przeprowadzenia kontroli.

6. Każda z osób upoważnionych przez Administratora do przeprowadzenia kontroli, przed rozpoczęciem kontroli podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji kontroli, w tym danych osobowych, których administratorem danych jest Procesor.

7. O ile będzie to niezbędnie konieczne Procesor będzie zobowiązany umożliwić przeprowadzenie kontroli, a w szczególności udostępnić dokumentację, pomieszczenia i infrastrukturę techniczną w zakresie niezbędnym do przeprowadzenia takiej kontroli. Ponadto, Procesor jest zobowiązany udzielić Administratorowi niezbędnych informacji, dotyczących wykonywania postanowień Regulaminu.

8. Kontrola przetwarzania wymagająca dostępu do pomieszczeń Procesora lub systemów informatycznych nie może trwać łącznie dłużej niż 1 (jeden) dzień roboczy. Czynności kontrolne mogą być wykonywane w dni robocze w godzinach od 8:00 do 16:00.

9. Administrator dostarczy Procesorowi raport z przeprowadzonej kontroli, podpisany przez obie Strony. Raport zawierał będzie wnioski z kontroli oraz, jeżeli okaże się to konieczne, uzgodniony przez Strony zakres i warunki ewentualnych zmian w zakresie przetwarzania danych osobowych powierzonych przez Administratora.

10. Wszelkie koszty kontroli, prowadzonych przez Administratora lub przez osoby trzecie działające w imieniu i na rzecz Administratora, pokrywa Administrator.

11. Procesorowi przysługuje zwrot uzasadnionych kosztów i wydatków, poniesionych w związku z kontrolą prowadzoną przez Administratora lub przez osoby trzecie działające w imieniu Administratora.

§6

Podpowierzenie i transfer do państw trzecich

1. Procesor ma prawo podpowierzania danych osobowych, o których mowa w §3 ust. 1 Regulaminu, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w §3 ust. 4 Regulaminu.

2. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, zobowiązuje się on do tego, że:

• będzie korzystał wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by dokonywane przez nie przetwarzanie danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych,

• na ten inny podmiot przetwarzający, w drodze zawartej pomiędzy tym podmiotem a Procesorem umowy, nałożone zostaną te same obowiązki ochrony danych jak w §4 Regulaminu, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych, a także prawo do umożliwienia przeprowadzenia przez Administratora u tych podmiotów kontroli na zasadach określonych w § 5 Regulaminu.

3. Procesor może przekazywać dane osobowe do państwa trzeciego tj. kraju znajdującego się poza Europejskim Obszarem Gospodarczym.

§7

Odpowiedzialność Procesora

W przypadku, gdy w wyniku naruszenia przez Procesora postanowień Umowy lub obowiązujących przepisów prawa (z przyczyn zawinionych przez Procesora), Administrator zostanie zobowiązany do wypłaty odszkodowania lub zadośćuczynienia, zapłaty kary grzywny, administracyjnej kary pieniężnej, Procesor zobowiązuje się do pokrycia wszelkich wynikających z tego tytułu kosztów jakie Administrator poniesienie lub jakie będzie zobowiązany ponieść, w tym również kosztów postępowania sądowego lub sądowo-administracyjnego, jednakże do wysokości kwoty odpowiadającej 3 krotności miesięcznego wynagrodzenia netto przysługującego Procesorowi w związku z realizacją świadczonej usługi, o której mowa w §2 ust. 1 Regulaminu.

§8

Usunięcie lub zwrot danych osobowych

1. Zależnie od decyzji Administratora w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia Umowy., Procesor jest zobowiązany do usunięcia lub zwrotu wszelkich powierzonych mu danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych. Usunięcie / zwrot danych zostaną stwierdzone stosownym protokołem, w sposób i na zasadach określonych przez Administratora.

2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.

§9

Obowiązywanie Regulaminu

1. Niniejszy Regulamin obowiązuje w okresie realizacji zamówionej usługi na podstawie Umowy lub złożonego zlecenia.

2. Jeżeli jedna ze Stron rażąco narusza zobowiązania wynikające z Regulaminu, druga Strona może wypowiedzieć Umowę ze skutkiem natychmiastowym oraz żądać naprawienia szkody poniesionej na skutek takiego naruszenia.

§10

Pozostałe postanowienia

1. Strony są zobowiązane do współpracy w zakresie nadzoru nad realizacją postanowień niniejszego Regulaminu.

2. Przestrzeganie zasad ochrony danych w Nijhof Wassink Sp. o.  nadzoruje wyznaczony Inspektor Ochrony Danych – z którym można skontaktować się pisząc na adres email IOD@nijwa.com.pl

§11

Postanowienia końcowe

1. 1. W sprawach nieuregulowanych postanowieniami Regulaminu zastosowanie będą mieć właściwe przepisy prawa.

2. 4. Wszelkie zmiany, uzupełnienia lub rozwiązanie Regulaminu wymagają zachowania formy pisemnej pod rygorem nieważności, z zastrzeżeniem, tych sytuacji w których Regulamin wprost przewiduje możliwość dokonywania zmian w innej formie.

3. W przypadku sporów powstałych na tle realizacji Regulaminu strony dążyć będą do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo według właściwości ogólnej.

4. Niniejszy regulamin stanowi integralną część umowy/zlecenia świadczenia usług wymienionych w §2 ust. 1.

5. Regulamin wchodzi w życie w dniu 1 września 2018 r.